คิดก่อนทิ้ง....หน้าที่ในการทำลายข้อมูลส่วนบุคคล

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดว่าผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่มีข้อยกเว้นตามกฎหมาย
(มาตรา 37(3))
หน้าที่ในการลบหรือทำลายข้อมูลส่วนบุคคลจึงเป็นส่วนหนึ่งในหน้าที่ขององค์กรต่าง ๆ ที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ที่ต้องดำเนินการให้สอดคล้องกับเงื่อนไขของกฎหมายต่าง ๆ ที่เกี่ยวข้องกับชุดข้อมูลนั้น ๆ  โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ได้กำหนดวิธีการทำลายข้อมูลเอาไว้เป็นการเฉพาะแต่ก็ให้อำนาจแก่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลไว้ว่าอาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (ปัจจุบันยังไม่มีการประกาศ)
            การที่ข้อมูลไม่ถูกทำลาย แต่กลับถูกเผยแพร่หรือรั่วไหลออกไปนอกองค์กรย่อมทำให้ข้อมูลนั้นสูญเสียการเป็นความลับ (confidentiality breach) ซึ่งกรณีการทิ้งเอกสารโดยไม่ทำลายอย่างเหมาะสมนั้น
เคยมีกรณีศึกษาเกิดขึ้นในปี 2558 เมื่ออัยการสูงสุดของรัฐอินเดียนา ประเทศสหรัฐอเมริกา กล่าวหาว่าทันตแพทย์คนหนึ่งได้ทิ้งบันทึกผู้ป่วยมากกว่า 60 กล่องไว้ในถังขยะ การกระทำดังกล่าวเป็นการละเมิดกฎหมายความเป็นส่วนตัวของรัฐและรัฐบาลกลาง ซึ่งในคดีนี้ทันตแพทย์ยอมรับผิดตามข้อกล่าวหาของอัยการและถูกปรับเป็นเงิน 12,000 เหรียญ
            ดังนั้น เมื่อพิจารณาหน้าที่ในการลบหรือทำลายข้อมูลในบริบทของการบริหารจัดการข้อมูลแล้ว องค์กรต่าง ๆ อาจดำเนินการเพื่อลดความเสี่ยงจากการกระทำผิดกฎหมายได้ดังนี้
1)   เมื่อองค์กรไม่มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลอีกต่อไปและไม่มีความจำเป็นต้องเก็บรักษา (data archiving) ข้อมูลเหล่านั้นควรถูกทำลายอย่างปลอดภัย การทำลายข้อมูลส่วนบุคคลไม่ควรดำเนินการโดยปราศจากการลงชื่อของบุคคลหรือคณะบุคคลที่มีหน้าที่ตามที่องค์กรได้มอบหมาย
2)  มีการจัดทำแบบบันทึกการทำลายที่ควรประกอบด้วย ข้อมูลของสิ่งที่ถูกทำลาย เวลาที่ถูกทำลาย และบุคคลที่ได้รับอนุญาตให้ดำเนินการทำลาย (รวมถึงการว่าจ้างให้องค์กรภายนอกดำเนินการด้วย)
3)  ในกรณีข้อมูลส่วนบุคคลบันอยู่ในสื่อบันทึกข้อมูล สื่อบันทึกข้อมูลนั้นควรถูกทำลายด้วยระดับความปลอดภัยที่สอดคล้องกับระดับชั้นของข้อมูลและความอ่อนไหวของข้อมูล  
4)  กระดาษที่มีข้อมูลส่วนบุคคลควรถูกทิ้งในถังขยะที่ป้องกันและรักษาการเป็นความลับได้ (ทึบ/มีฝาปกปิด) และควรลบเอกสารที่จัดเก็บไว้ในระบบอิเล็กทรอนิกส์รวมถึงข้อมูลสำรองทั้งหมด การลบควรดำเนินการโดยบุคคลที่มีสิทธิเข้าถึงระบบที่เหมาะสม เอกสารดิจิทัลควรถูกลบและไม่ใช้การเขียนทับ
5)  เมื่อข้อมูลต้นฉบับถูกทำลาย ควรทำลายสำเนาข้อมูลทั้งหมดพร้อมกัน (ทั้งแบบดิจิทัลและแบบกายภาพ) ทั้งนี้ ข้อมูลไม่ถือว่าถูกทำลายได้อย่างสมบูรณ์เว้นแต่สำเนาทั้งหมดจะถูกทำลายด้วยเช่นกัน
            ในส่วนของวิธีการทำลายสื่อบันทึกข้อมูลแต่ละประเภท องค์กรอาจพิจารณาวิธีการ ดังนี้
1.   ข้อมูลในรูปแบบกระดาษหรือสิ่งพิมพ์ อาจใช้เครื่องทำลายเอกสารในองค์กร หรือใช้บริการทำลายเอกสารโดยองค์กรภายนอกก็ได้
2.  ข้อมูลที่บันทึกในแบบดิจิทัล เมื่อต้องดำเนินการลบ องค์กรควรตระหนักว่าข้อมูลดังกล่าวอาจมีสำเนาอยู่ในระบบ ข้อมูลจึงอาจไม่ได้ถูกลบอย่างแท้จริงแม้ว่าจะได้ดำเนินการลบแล้ว ในกรณีที่ต้องการลบข้อมูลอย่างถาวร ข้อมูลนั้นต้องไม่สามารถใช้ได้อีกต่อไปและไม่มีใครสามารถเข้าถึงหรือใช้ข้อมูลได้อีกเมื่อทำการลบแล้ว การที่ข้อมูลถูกลบและไปอยู่ในขยะ (recycle bin) ตามปกติระบบจะยังคงเก็บข้อมูลไว้อีกช่วงระยะเวลาหนึ่ง
องค์กรที่ต้องการลบข้อมูลประเภทนี้ อาจดำเนินการโดย
2.1.  ใช้ซอฟต์แวร์ที่ช่วยลบข้อมูลอย่างปลอดภัย (secure delete software) ซึ่งซอฟต์แวร์เหล่านี้จะช่วยลบข้อมูลอย่างปลอดภัย
2.2.  ใช้ที่ปรึกษาด้านไอทีที่มีความเชี่ยวชาญ
            นอกจากนี้ องค์กรยังอาจนำมาตรฐานสากลในด้านการลบหรือทำลายข้อมูลมาใช้เป็นแนวทางในการทำลายข้อมูลในสื่อบันทึกข้อมูลรูปแบบต่าง ๆ ก็ได้ อาทิ NIST SP 800-88 Guidelines for Media Sanitization โดยการทำ Sanitization คือ กระบวนการที่ทำให้การเข้าถึงข้อมูลเป้าหมายบนสื่อบันทึกเป็นไปไม่ได้สำหรับระดับของความพยายามที่กำหนด (given level of effort) ซึ่งวิธีการที่องค์กรเลือกที่จะทำลายข้อมูลนั้นจะขึ้นอยู่กับระดับการรักษาความลับของข้อมูลนั้น (confidentiality level) โดยในการกำหนดวิธีการทำลายให้พิจารณาถึง
1)       หมวดหมู่ข้อมูลตามระดับความลับและข้อกำหนดด้านการเข้าถึง
2)       การประเมินลักษณะของสื่อจัดเก็บข้อมูล
3)       การชั่งน้ำหนักความเสี่ยงในการรักษาความลับและ
4)       กำหนดวิธีการนำสื่อไปใช้ในอนาคต (กล่าวคือ จะใช้ซ้ำภายในองค์กรหรือไม่ บริจาค หั่นฝอย หรือทำให้ใช้ไม่ได้หรือไม่)
            NIST SP 800-88 ได้ให้ข้อแนะนำตั้งแต่การกำหนดบทบาทหน้าที่ของบุคคลในองค์กรที่เกี่ยวข้อง กระบวนการตัดสินใจต่าง ๆ รวมถึงเทคนิคและวิธีการลบทำลายข้อมูลในสื่อบันทึกข้อมูลรูปแบบต่าง ๆ
อาทิ การทำลายข้อมูลด้วยสนามแม่เหล็ก (degaussing) การเขียนทับ (overwriting) หรือการหั่นย่อย (shredding) เป็นต้น
            ข้อพิจารณาที่สำคัญอีกประการหนึ่งในการใช้ผู้รับจ้างในการทำลายข้อมูล คือ การที่องค์กรให้บุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลขององค์กรเพื่อดำเนินการทำลายข้อมูลในนามขององค์กรซึ่งปกติหน้าที่ในการทำลายข้อมูลส่วนบุคคลดังกล่าวเป็นขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีนี้ การจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลจึงเป็นส่วนหนึ่งที่องค์กรต้องพิจารณาประกอบด้วย และการเลือกผู้รับจ้างทำลายข้อมูลองค์กรต้องมีความระมัดระวังเพื่อป้องกันเหตุการณ์ข้อมูลรั่วไหลที่อาจจะเกิดจากการดำเนินการของผู้รับจ้างด้วย อีกทั้งผู้รับจ้างต้องสามารถยืนยันและให้ตรวจสอบได้ว่าข้อมูลนั้นได้ถูกลบอย่างแท้จริง
_________

เธียรชัย ณ นคร
ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล
ศุภวัชร์ มาลานนท์
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

ref:https://www.bangkokbiznews.com/news/1028319 

ที่มา: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(3) และมาตรา 33
อ้างอิง
1.     ICO Retention and Disposal Policy V.8 (2022), https://ico.org.uk/media/4018504/retention-and-disposal-policy.pdf
2.     Retention and destruction of information, https://ico.org.uk/for-organisations/guidance-index/freedom-of-information-and-environmental-information-regulations/retention-and-destruction-of-information/
3.     NIST SP 800-88 Guidelines for Media Sanitization
4.     Ex-Kokomo dentist to pay $12,000 over discarded record, https://www.indystar.com/story/news/crime/2015/01/10/ex-kokomo-dentist-pay-discarded-records/21554347/